公開日:2024/06/18 最終更新日:2024/06/18

JVN#65171386
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性

概要

エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-33620

  • FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
  • FUJITSU Software ID リンク・マネージャー V2.0
  • FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
  • FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
CVE-2024-33622、CVE-2024-34024
  • FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
  • FUJITSU Software ID リンク・マネージャー V2.0
  • FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
  • FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
  • FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)

詳細情報

エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、次の複数の脆弱性が存在します。

  • パストラバーサル(CWE-36
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値 8.6
    • CVE-2024-33620
  • 不適切な認証(CWE-306
    • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値 5.4
    • CVE-2024-33622
  • 情報漏えい(CWE-204
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
    • CVE-2024-34024

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 認証無しでサーバ上の機微な情報を含むファイルを参照される(CVE-2024-33620)
  • 機微な情報を取得されたり、データベース内の情報を改ざんされる(CVE-2024-33622)
  • 認証無しでユーザ名の有無を参照される(CVE-2024-34024)

対策方法

パッチを適用する
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORについては、開発者が提供する情報をもとに、パッチを適用してください。

FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSは2024年6月16日のメンテナンスで修正済みです。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
エフサステクノロジーズ株式会社 該当製品あり 2024/06/18 エフサステクノロジーズ株式会社 の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:WithSecure KK Christian Demko 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-33620
CVE-2024-33622
CVE-2024-34024
JVN iPedia JVNDB-2024-000063